Европейские заказчики, банки и авиационные группы всё чаще начинают отбор подрядчика не с «сколько стоит», а с «как вы управляете рисками и можете это доказать». Для IT-бизнеса в Астане, Алматы и по СНГ это означает одно: нужны международные сертификаты для IT и управляемые процессы, а не разрозненные «меры безопасности».
1) Базовый пакет ISO для IT-компаний на 2026
Если у вас есть клиенты из ЕС/UK, критичные сервисы или вы работаете как подрядчик для авиакомпаний/аэропортов/MRO, отправная точка почти всегда — ISO/IEC 27001 (ISMS). Это каркас для “сертификация информационной безопасности”: риски → контроли → доказательства → улучшения. Практику для Казахстана разбираем в статье «ISO 27001 в Казахстане: зачем сертификат компаниям, работающим с ЕС и UK».
Дальше стандарты подбирают под ваш профиль. Ниже — минимально достаточный набор, который чаще всего спрашивают в тендерах и due diligence:
- ISO/IEC 27701 (PIMS) — если есть персональные данные (клиенты/пассажиры/сотрудники) и важно закрыть privacy-вопросы и GDPR.
- ISO/IEC 27017 / 27018 — для облачных сервисов: безопасность и приватность в cloud-модели.
- ISO/IEC 20000-1 — управление IT-услугами (SLA, инциденты, изменения) для B2B-провайдеров.
- ISO 22301 — непрерывность бизнеса, когда простой = штрафы и репутационные потери.
- ISO/IEC 42001 — если вы внедряете AI и хотите управлять рисками, прозрачностью и ответственностью.
Важно: сертификация IT-компании — это не внедрить всё, а выбрать правильный scope. Часто экономию делает грамотный SoA (Statement of Applicability): почему шаблоны вредят и как выбрать контроли Annex A, — в статье «SoA без шаблонов…».
2) Когда одного ISO мало: отраслевые схемы
ISO закрывает основу, но в некоторых цепочках поставок “входной билет” другой. Если вы обрабатываете платежи, работаете с банками или продаёте сервисы международным корпорациям, вас могут попросить:
- PCI DSS — платежные данные карт;
- SOC 2 (Type I/Type II) — отчётность по контролям (часто для США/глобальных групп);
- SWIFT CSP — для банковской инфраструктуры;
- TISAX / CSA STAR — автопром и облачные провайдеры.
В таких проектах IT-компания аудит — это не только ISO-аудит, но и независимые проверки по отраслевой схеме.
3) ЕС и авиация в 2026: что проверяют заказчики
Для контрактов с ЕС обычно всплывает связка требований: GDPR (персональные данные), NIS2 (киберустойчивость и управление рисками), DORA (цифровая устойчивость финорганизаций и контроль ИКТ-поставщиков), eIDAS (доверительные услуги и юридически значимые транзакции).
Отдельная история — авиация. EASA Part-IS закрепляет управление информационной безопасностью как часть авиационной безопасности: организациям под надзором EASA нужно управлять ИБ-рисками системно, а подрядчики попадают в фокус через требования к цепочке поставок и доказательствам контроля.
Поэтому для авиационных компаний Казахстана и СНГ, работающих с ЕС, ISO/IEC 27001 становится базовым доказательством зрелости, а ISO 22301 и облачные стандарты — частым плюсом в тендерах.
4) Стоимость сертификации IT-компании: что реально влияет на бюджет
Обычно стоимость сертификации IT-компании зависит от:
- выбранного scope (один продукт/проект vs вся группа);
- количества площадок и распределённости команд (Астана/Алматы/удалёнка);
- зрелости процессов (доступы, инциденты, поставщики, обучение);
- облака и критичных интеграций;
- необходимости 27701/GDPR, 22301, 20000-1 или отраслевых требований (PCI DSS, SOC 2 и т.д.).
Самый быстрый способ зафиксировать бюджет и сроки — предаудит (gap-assessment) и дорожная карта.
5) Как пройти сертификацию быстрее
Рабочая схема простая: диагностика → внедрение → внутренние проверки → внешний аудит. В блоге BALTUM BUREAU есть практичные разборы, которые ускоряют подготовку: про ISO 27001 как основу для аудита DORA и пакет доказательств, а также про типовые риски ИБ в Казахстане.
Если вам нужна сертификация IT-компании под рынок ЕС/СНГ или под авиационные требования EASA, команда BALTUM BUREAU поможет собрать минимально достаточную систему, подготовить доказательства и пройти аудит без лишней бюрократии.